Крис Касперский - ТЕХНИКА СЕТЕВЫХ АТАК

Тут можно читать онлайн Крис Касперский - ТЕХНИКА СЕТЕВЫХ АТАК - бесплатно полную версию книги (целиком) без сокращений. Жанр: Программы. Здесь Вы можете читать полную версию (весь текст) онлайн без регистрации и SMS на сайте лучшей интернет библиотеки ЛибКинг или прочесть краткое содержание (суть), предисловие и аннотацию. Так же сможете купить и скачать торрент в электронном формате fb2, найти и слушать аудиокнигу на русском языке или узнать сколько частей в серии и всего страниц в публикации. Читателям доступно смотреть обложку, картинки, описание и отзывы (комментарии) о произведении.

Читать книгу

Название:

ТЕХНИКА СЕТЕВЫХ АТАК
Автор:

Крис Касперский
Жанр:

Программы
Издательство:

неизвестно
Год:

неизвестен
ISBN:

нет данных
Рейтинг:

3.9/5. Голосов: 101
Избранное:

Добавить в избранное
Отзывы:

Читать комментарии
Ваша оценка:
80

1

2

3

4

5

Крис Касперский - ТЕХНИКА СЕТЕВЫХ АТАК краткое содержание

ТЕХНИКА СЕТЕВЫХ АТАК - описание и краткое содержание, автор Крис Касперский, читайте бесплатно онлайн на сайте электронной библиотеки LibKing.Ru

ТЕХНИКА СЕТЕВЫХ АТАК - читать онлайн бесплатно полную версию (весь текст целиком)

ТЕХНИКА СЕТЕВЫХ АТАК - читать книгу онлайн бесплатно, автор Крис Касперский

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

Под управлением Windows 9x ту же операцию выполнить намного проще, поскольку она позволяет узнать содержимое регистров и состояние стека нажатием на клавишу «сведения». На экране отобразится диалоговое окно наподобие изображенного на рисунке 080.

Рисунок 080

Наибольший интерес представляет значение регистра ESP, значение которого позволяет вычислить местоположение введенной строки в стеке. Значение регистра EBP, равного 0x5A5A5A5A говорит о том, что компилятор сгенерировал код, адресующий локальные переменные с помощью регистра EBP. Вполне возможно, что модификацией сохраненного значения EBP злоумышленнику удастся проникнуть на машину или, по крайне мере, «завесить» ее.

В штатную поставку Windows 9x, Windows NT 4.x, Windows 2000 входит утилита «Dr. Watson», предназначенная для выявления причин ошибок. При возникновении аварийной ситуации она сохраняет текущее состояние некорректно работающего приложения в файл протокола, в который (в зависимости от настоек) могут входить: содержимое регистров и состояние стека, истории трассировки и т.д.

Один из примеров протокола приведен ниже [333]. Он получен после возникновения исключения в результате переполнения буфера программы buff.demo.exe:

· Состояние системы на 15.09.00 10:31:30.
·
· *--» Итог/Описание «--*
·
· Приложение или одна из ее DLL могла переполнить
· внутренний временный буфер
·
· Имя модуля: «нет данных»
·
· Название приложения: Buff.demo.exe
·
· ____________________
·
· *--» Сведения «--*
·
· Command line: F:\TPNA\SRC\BUFFDE~1.EXE
·
· Trap 0e 0000 - Недопустимая страница
· eax=00000000 ebx=00530000 ecx=00406050 edx=0063fdd8 esi=817d3fd4 edi=00000000
· eip= 5a5a5a5a esp= 0063fdf8 ebp=5a5a5a5a - - - nv up EI pl ZR na PE nc
· cs=015f ss=0167 ds=0167 es=0167 fs=41a7 gs=0000
·»015f:5a5a5a5a page not present
· sel type base lim/bot
· ____________________ -- ____________________ ____________________
· cs 015f r-x- 00000000 ffffffff
· ss 0167 rw-e 00000000 0000ffff
· ds 0167 rw-e 00000000 0000ffff
· es 0167 rw-e 00000000 0000ffff
· fs 41a7 rw- 817d23fc 00000037
· gs 0000 --
·
· stack base: 00540000
· TIB limits: 0063e000 - 00640000
·
· - exception record -
·
· Exception Code: c0000005 (нарушение доступа)
· Exception Address: 5a5a5a5a
· Exception Info: 00000000
· 5a5a5a5a
·
·»015f:5a5a5a5a page not present
·
·
· - stack summary -
·
· 0167:5a5a5a5a 015f:5a5a5a5a 015f:5a5a5a5a
·
· - stack trace -
·
· 0167:5a5a5a5a 015f:5a5a5a5a 015f:5a5a5a5a
·
· - stack dump -
·
· 0063fdf8 00005a5a
· 0063fdfc 00401262 = BUFF.DEMO.EXE:.text+0x262
·
· ____________________
· 015f:00401231 00a330694000 add byte ptr [ebx+00406930],ah
· 015f:00401237 e83f0e0000 call 0040207b = BUFF.DEMO.EXE:.text+0x107b
· 015f:0040123c e8810d0000 call 00401fc2 = BUFF.DEMO.EXE:.text+0xfc2
· 015f:00401241 e8f60a0000 call 00401d3c = BUFF.DEMO.EXE:.text+0xd3c
· 015f:00401246 a170694000 mov eax,dword ptr [00406970]
· 015f:0040124b a374694000 mov dword ptr [00406974],eax
· 015f:00401250 50 push eax
· 015f:00401251 ff3568694000 push dword ptr [00406968]
· 015f:00401257 ff3564694000 push dword ptr [00406964]
· 015f:0040125d e80afeffff call 0040106c = BUFF.DEMO.EXE:.text+0x6c
· BUFF.DEMO.EXE:.text+0x262:
· *015f:00401262 83c40c add esp,+0c
· 015f:00401265 8945e4 mov dword ptr [ebp-1c],eax
· 015f:00401268 50 push eax
· 015f:00401269 e8fb0a0000 call 00401d69 = BUFF.DEMO.EXE:.text+0xd69
· 015f:0040126e 8b45ec mov eax,dword ptr [ebp-14]
· 015f:00401271 8b08 mov ecx,dword ptr [eax]
· 015f:00401273 8b09 mov ecx,dword ptr [ecx]
· 015f:00401275 894de0 mov dword ptr [ebp-20],ecx
· 015f:00401278 50 push eax
· 015f:00401279 51 push ecx
· 015f:0040127a e8bf0b0000 call 00401e3e = BUFF.DEMO.EXE:.text+0xe3e
·
· ____________________
·
·
· 0063fe00 00000001
· 0063fe04 00760b70 -» 78 0b 76 00 00 00 00 00 46 3a 5c 54 50 4e 41 5c x.v…F:\TPNA\
· 0063fe08 00760b20 -» 00 0b 76 00 e0 0a 76 00 c0 0a 76 00 a0 0a 76 00…v…v…v…v.
· 0063fe0c 00000000
· 0063fe10 817d3fd4 -» 06 00 05 00 50 e9 52 c1 00 00 00 00 00 00 00 00…P.R…
· 0063fe14 00530000
· 0063fe18 c0000005
· 0063fe1c 0063ff68 -» ff ff ff ff 14 fe fb bf 38 91 f7 bf 00 00 00 00…8…
· 0063fe20 0063fe0c -» 00 00 00 00 d4 3f 7d 81 00 00 53 00 05 00 00 c0…?}…S…
· 0063fe24 0063fc28 -» 00 fd 63 00 1c fd 63 00 54 fc 63 00 4d 68 f7 bf…c…c.T.c.Mh…
· 0063fe28 0063ff68 -» ff ff ff ff 14 fe fb bf 38 91 f7 bf 00 00 00 00…8…
· 0063fe2c 004026dc = BUFF.DEMO.EXE:.text+0x16dc
· -» 55 8b ec 83 ec 08 53 56 57 55 fc 8b 5d 0c 8b 45 U…SVWU…]…E
· 0063fe30 004050a8 = BUFF.DEMO.EXE:.rdata+0xa8
· -» ff ff ff ff 6e 12 40 00 82 12 40 00 06 00 00 06…n.@…@…
· 0063fe34 00000000
· 0063fe38 0063ff78 -» f4 ff 63 00 e9 b3 f8 bf f4 23 7d 81 d4 3f 7d 81…c…#}…?}.
· 0063fe3c bff8b537 = KERNEL32!ApplicationStartup
·
· ____________________
·

Этот протокол полезен тем, что позволяет установить: в какой процедуре произошло переполнение буфера. В листинге знаком звездочки отмечена инструкция, следующая за командой, вызвавшей исключение:

· 015f:0040125d e80afeffff call 0040106c = BUFF.DEMO.EXE:.text+0x6c

· BUFF.DEMO.EXE:.text+0x262:

· *015f:00401262 83c40c add esp,+0c

С помощью IDA легко установить, что процедура, располагающая по адресу 0x40106C, представляет собой main():

·.text:0040106C main proc near; CODE XREF: start+AFp

·.text:0040106C push ebp

·.text:0040106D mov ebp, esp

Но переполнение буфера произошло в процедуре auth, ссылок на адрес которой (0х401000) в протоколе, выданном Доктором Ватсоном вообще нет! Это происходит потому что, адрес возврата из процедуры auth был затерт введенной строкой и Доктор Ватсон не смог определить откуда произошел вызов. Исключение вызвала не сама функция main, а одна из вызываемых ею процедур. Установить же истинного «виновника» исключения теперь практически невозможно.

Единственной зацепкой, за которую можно ухватиться оказываются параметры переданные функции (если они не были затерты [334]). По роду и значению параметров можно хотя бы приблизительно определить какая функция была вызвана. По крайней мере, это позволит сузить круг поиска.

Но далеко не во всех случаях ошибки переполнения удается обнаружить перебором строк разной длины. Наглядной демонстрацией этого утверждения служит следующая программа (на диске, прилагаемом к книге, она находится в файле “/SRC/buff.src.c”):

· #include «stdio.h»
· #include «string.h»
· #include «windows.h»
·
· int file(char *buff)
· {
· char *p;
· int a=0;
· char proto[10];
· p=strchr( amp;buff[0],':');
· if (p)
· {
· for (;a!=(p- amp;buff[0]);a++)
· proto[a]=buff[a];
·
· proto[a]=0;
·
· if (strcmp( amp;proto[0],"file"))
· return 0;
· else
· WinExec(p+3,SW_SHOW);
·
·}
· else
· WinExec( amp;buff[0],SW_SHOW);
· return 1;
·
·}
·
·
· main(int argc,char **argv)
· {
· if (argc»1) file( amp;argv[1][0]);
·}

Программа запускает файл, имя которого указано в командной строке. Попытка вызвать переполнение вводом строк различной длины, скорее всего, ни к чему не приведет. Но даже беглый анализ исходного кода позволит обнаружить ошибку, допущенную разработчиком.

Если в имени файла присутствует символ “:”, то программа полагает, что имя записано в формате “протокол://путь к файлу/имя файла”, и пытается выяснить какой именно протокол был указан. При этом она копирует название протокола в буфер фиксированного размера, полагая, что при нормальном ходе вещей, его хватит для вмещения имени любого протокола. Но если ввести строку наподобие “ZZZZZZZZZZZZZZZZZZZZZZ :”, то произойдет переполнение буфера со всеми вытекающими отсюда последствиями (см. рисунок 084).

Рисунок 084

Приведенный пример относится к самым простым. Но существуют более коварные ошибки, проявляющиеся лишь при стечении определенных обстоятельств и обнаружить их можно только случайно или тщательным изучением исходных кодов (а в отсутствии исходных кодов - дизассемблированием или отладкой).